Windows下使用AppLocker禁止软件运行
最近刷CTF逆向题目,结合前面分析样本情况,产生了在某一目录禁止exe程序执行的需求。
通过搜索与折腾,通过AppLocker实现了这一目的。
Windows下使用AppLocker禁止软件运行
重要步骤
为了使AppLocker生效,需要手工启动Application Identify服务
也可以在管理员权限的命令行窗口中运行如下命令,设置该服务为开机自启动:sc.exe config appidsvc start=auto
经过我的测试,这一步必须要有,不然即使配置了AppLocker策略,也无法禁止软件运行。
配置模式
打开gpedit,在下面路径Computer config > Windows Settings > Security Settings > Application Control Policies > AppLocker里编辑:
在Executable Rules里编辑:
- 生成默认策略;
- 生成自定义策略;
- 允许所有签名的exe执行;
在Packaged app Rules里编辑:
- 生成默认策略:
注:如果不添加这一条的话,默认所有Packaged app都将无法运行。
事件查看器中记录的报错信息为:No packaged apps can be executed while Exe rules are being enforced and no Packaged app rules have been configured.
在AppLocker里编辑:
将Executable Rules设置为Enforced模式,使策略生效。
这一步不配置也可以,默认情况下就是生效的。
(注:我实际测试必须要手工勾选Enforced模式)
实际运行效果
GUI界面:
cmd运行:
查看AppLocker日志
在事件查看器中对应的日志路径是Microsoft-Windows-AppLocker
AppLocker是一个很好的日志源,可以将日志保存大小设置大一点。
